Најновији велики преглед Мозила Фајерфокс је стигао са великим изненађењем. Иза кулиса: прегледач је морао да закрпи 271 безбедносну рањивост након што је његов код прошао интензивну анализу са Claude Mythos-ом, Anthropic-овим моделом вештачке интелигенције усмереним на сајбер безбедност. Далеко од тога да је једноставан експеримент, случај се сматра потенцијалном прекретницом у начину на који се штите велике апликације повезане на интернет.
Мозила се годинама хвали да је Фајерфокс један од више ревидираних и робуснијих прегледача отвореног кодаМеђутим, сарадња са Anthropic-ом открила је значајан број латентних рањивости. Добра вест је да су оне исправљене пре него што су могле бити искоришћене; забринутост произилази из открића у којој мери је површина напада и даље скривала слабости које ни ручно тестирање ни традиционалне технике анализе нису откриле.
Фајерфокс 150: исправљено ажурирање са 271 рањивошћу
Према речима Бобија Холија, техничког директора Мозиле, рад је део директна сарадња са Anthropic-ом У оквиру пројекта Glasswing, ограниченог програма путем којег компанија за вештачку интелигенцију омогућава технолошким партнерима да анализирају критични софтвер, скенирање се фокусирало на изворни код прегледача, обраћајући посебну пажњу на осетљиве компоненте као што су механизам за рендеровање, „песак“ и слојеви изолације процеса.
Холи признаје да је индустрија, историјски гледано, претпостављала да Потпуно елиминисање експлоата био је нереалан циљ.Стратегија је подразумевала што већу тежину напада кроз слојеве дубинске одбране, „пешчаник“ и безбедније језике попут Руста, али увек уз прихватање да ће се нека рањивост на крају појавити. Масовно откриће Митоса појачава ову идеју, али истовремено показује да се равнотежа можда почиње мењати у корист бранилаца.
Сам технички директор истиче да би један квар пронађене категорије био Црвена узбуна 2025. године за високо заштићену метуОтуда вртоглавица која се, према Мозили, проширила међу другим безбедносним тимовима када су видели укупан број рањивости откривених одједном, сценарио који тестира капацитет реаговања било које организације.
Од Опуса до Митоса: Скок напред у ревизији вештачке интелигенције
Сарадња између Мозиле и Антропика није почела са Митосом. Месецима раније, фондација је тестирала Клод Опус 4.6Антропиков напредни модел је коришћен за преглед раније верзије прегледача. Тај први тест је резултирао исправљањем 22 безбедносне рањивости у Фајерфоксу 148, од којих су неке биле озбиљне, и чак је тада сматран изузетним достигнућем.
Долазак Клода Митоса Прегледа је, међутим, значио скок од око дванаест пута у броју откривених рањивостиДок је Opus 4.6 идентификовао неколико десетина рањивости, Mythos је открио 271 и, у интерном тестирању, генерисао је преко 180 радних експлоита који демонстрирају стварну искоришћаваност ових грешака. Што се тиче продуктивности ревизије, ово је значајно побољшање.
Мозила наглашава да је Антропиков модел постигао учинке упоредиве са резултатима елитних људских истраживачаВажно је, појашњавају они, да није то што открива потпуно нове врсте рањивости, већ то што је у стању да систематски лоцира многе проблеме које би и стручњак могао да пронађе, али у много краћем временском периоду и у размерама које су практично неуправљиве за ручне тимове.
Једна ствар коју организација инсистира да истакне јесте да Нису откривене никакве рањивости које би биле ван домашаја доброг људског истраживача.Ово се поклапа са ставом компаније Мозила, која не верује да ће вештачка интелигенција ниоткуда створити методе напада које ће потпуно довести у питање наше тренутно разумевање безбедности; већ, она појачава посао који се већ може обавити, али без ограничења времена, умора или ресурса.
За сложену, модуларну апликацију попут Фајерфокса, дизајнирану управо тако да људи могу да размишљају о њеним различитим деловима, овај приступ има смисла. Оно што се мења није толико природа грешака колико способност да се открије много више за мање временаОво је кључно за прегледач који служи као капија ка хиљадама услуга и апликација, укључујући финансијске платформе, алате за рад на даљину и онлајн јавне услуге у Европској унији.
Од офанзивног модела до покушаја стицања одбрамбене предности
Годинама се безбедност софтвера кретала у Нелагодна равнотежа између нападача и одбрамбених играчаПовршина напада модерног прегледача је толико велика да ју је немогуће потпуно покрити традиционалним алатима, што је нападачима дало асиметричну предност: потребно им је само да пронађу добро постављену рањивост да би постигли свој циљ.
Мозила признаје да се њена стратегија ослањала на комбинацију дубинска одбрана, строга „песчаница“ и интензивна употреба Руста да би се минимизирале одређене породице грешака. Ово је допуњено техникама као што је фузинг, који подвргава код случајним улазима како би се изазвали неочекивани кварови. Међутим, сам Фајерфокс тим признаје да постоје делови кода који су много теже замагљивиОво оставља празнине у покривености које стрпљиви нападачи могу искористити.
Коришћење вештачке интелигенције попут Клода Митоса уводи нови део те слагалице. За разлику од насумичног тестирања или ручних прегледа, модел је способан за образложење о изворном коду, идентификовање сумњивих образаца и предлагање експлоатација који показују да ли је квар заиста критичан. Ово смањује искључиво ослањање на високо специјализоване тимове, који су оскудни и неспособни да се носе са количином софтвера који треба прегледати.
За Мозилу, ово отвара врата ка да се постепено смањи јаз између грешака које машине могу да открију и оних које људски стручњаци могу да лоцирају.Ако трошкови проналажења рањивости драстично падну за браниоце, део структурне предности коју су нападачи имали, навикли да посвећују месеце рада тражећи једну профитабилну ману, нестаје.
Холи признаје да је почетни шок од виђења толико грешака одједном био прави унутрашњи земљотрес, али тврди да је, када се почетни шок смирио, осећај позитиван: ако се ресурси могу приоритетизовати, а напори усмерити на исправљање онога што вештачка интелигенција открије, Браниоци могу почети да играју истим оружјем.То јест, под условом да постоје тимови способни да апсорбују количину резултата и претворе их у ефикасне закрпе.
Ризици тако моћне безбедносне вештачке интелигенције: јасан мач са две оштрице
Уз умерени ентузијазам компаније Мозила, велики део европског сектора сајбер безбедности пажљиво прати потенцијал за злоупотребу алата попут Клода МитосаИсти систем који омогућава проналажење мана у Фајерфоксу могао би се, у погрешним рукама, користити за аутоматизацију откривања рањивости у оперативним системима, „врућим“ новчаницима, децентрализованим апликацијама или услугама критичне инфраструктуре.
Антропик је свестан тог ризика и, заправо, одржава Митос је доступан уз веома ограничен приступ преко пројекта Glasswing.Велике технолошке компаније попут Apple-а, Microsoft-а, Google-а, Amazon Web Services-а, Linux Foundation-а и саме Mozilla-е део су ове групе, која користи модел за ревизију сопственог софтвера и, у неким случајевима, стратешке инфраструктуре. Идеја је да се пажљиво контролише шта се анализира и у које сврхе.
Недавни извештаји указују да је, у контролисаним тестовима, Клод Митос достигао Идентификујте и искористите zero-day рањивости у широко коришћеним системимаод прегледача до оперативних система. Чак је документовано да може сасвим аутономно да обавља сложене сајбер операције, као што су вишестепене симулације упада у корпоративне мреже.
Ове могућности су изазвале интересовање не само компанија, већ и владе и обавештајне агенцијеНа пример, у Сједињеним Државама је објављено да је Национална безбедносна агенција чак покренула Митос на класификованим мрежама, упркос јавним резервама према употреби таквих алата у ратним или надзорним контекстима.
За Европу, где је дебата о Регулација вештачке интелигенције и заштита података Посебно је интензивно; случајеви попут Фајерфокса и Митоса нуде муницију свим странама: с једне стране, они показују вредност добро управљане вештачке интелигенције за заштиту милиона корисника; с друге стране, истичу потребу да се осигура да ове врсте модела не подстакну нове генерације великих аутоматизованих напада.
Утицај на екосистем отвореног софтвера и на европске кориснике
Фајерфокс заузима јединствену позицију у свету прегледача. Иако је изгубио тржишни удео у корист Хромијума и његових деривата, он остаје... кључна компонента у окружењима где се слободни софтвер и приватност цене, као и многе европске јавне администрације, академске институције и напредни корисници ГНУ/Линукс система.
У том контексту, откриће 271 рањивости може се тумачити на два начина. С једне стране, то потврђује да чак и Високо ревидирани пројекти отвореног кода могу сакрити велики број грешака.Једноставно зато што је база кода огромна и ручни преглед не може да допре свуда. С друге стране, то показује да отворени модел развоја олакшава спољним алатима, укључујући напредну вештачку интелигенцију, да прегледају код и допринесу побољшању његове безбедности.
Мозила признаје да, уз помоћ Митоса, сада има дуга листа предстојећих задатака за јачање безбедности њихове водеће апликације. За крајње кориснике у Шпанији и остатку Европе, препорука је једноставна: ажурирајте свој прегледач да би имали користи од ових закрпа. Верзија 150 не само да исправља откривене грешке, већ и одржава темпо побољшања перформанси, компатибилности и функција као што су „песчаник“ и управљање локалним мрежним дозволама.
Штавише, случај Фајерфокса може послужити као преседан за други пројекти отвореног кода Ови алати се свакодневно користе у предузећима, јавним телима и критичним службама. Широко примењени алати – веб сервери, криптографске библиотеке, развојни оквири – могли би имати користи од сличних ревизија заснованих на вештачкој интелигенцији, што је посебно релевантно у Европској унији, где директиве о сајбер безбедности и дигиталној отпорности постају све строже.
Изазов, како и сама Мозила признаје, јесте да многи од ових пројеката немају довољно људских или економских ресурса да апсорбују ток налаза које модел попут Митоса може да генерише. Ту долазе до изражаја и фондације за слободни софтвер и јавне политике које подржавају безбедност отвореног кода, питање које је већ покренуто у Бриселу након инцидената попут Log4Shell-а.
Нова фаза у односу између људи и вештачке интелигенције у сајбер безбедности
Поред анегдоте о рањивости 271, случај Фајерфокса покреће... промена фокуса у односу између људских истраживача и вештачке интелигенције у сајбер безбедности. Уместо да супротставља једне другима, Мозила се залаже за модел у којем напредни алати проширују могућности безбедносних тимова, без замене њиховог просуђивања или искуства.
Организација описује Клода Митоса као неку врсту неуморни истраживач безбедностиспособни да прегледају велике количине кода, предлажу експлоите и идентификују обрасце ризика. Уз њих, људски стручњаци остају одговорни за одређивање приоритета, потврђивање, исправљање и одлучивање о томе које промене се уводе у коначни производ.
Ова заједничка визија има директне импликације на европско тржиште сајбер безбедности, где већ послују компаније и истраживачки центри. Они експериментишу са вештачком интелигенцијом за ревизије кода, анализу злонамерног софтвера или откривање упада.Ако се Мозилини резултати реплицирају у другим пројектима, могли бисмо видети скраћено време реакције на критичне кварове и смањење притиска на преоптерећене безбедносне тимове, барем делимично.
Истовремено, искуство Anthropic-а и Mozilla-е јасно показује важност Поново процените методе које се користе за мерење перформанси вештачке интелигенције (AI) модела у безбедносним задацима. Сам Anthropic је признао да многи тренутни тестови већ нису довољни у процени стварних могућности његових најновијих система, што захтева дизајнирање захтевнијих и репрезентативнијих тестова.
Ако постоји једна ствар око које се и Мозила и Антропик слажу, то је да, за сада, Не постоји потпуна замена за људски суд у управљању ризицима. Вештачка интелигенција убрзава и проширује потрагу за проблемима, али одлука о томе шта поправити, како то урадити и у ком временском року и даље зависи од тимова људи који морају да уравнотеже безбедност, утицај на кориснике и расположиве ресурсе.
Све указује на то да ће објављивање Фајерфокса 150 са закрпама за 271 рањивост које је означио Клод Митос бити упамћено као тренутак када Сајбер безбедност је направила озбиљан корак ка интелигентној аутоматизацији.Мозилин прегледач тако постаје студија случаја о томе како интегрисати вештачку интелигенцију високог нивоа у животни циклус развоја и одржавања критичног производа, а да се притом не изгубе из вида повезани ризици или потреба за строгим људским надзором. За кориснике, програмере и креаторе политике у Шпанији и Европи, лекција је јасна: вештачка интелигенција више није само футуристички концепт, већ алат који почиње да мења равнотежу у бици која је деценијама била нагнута у корист нападача.
